アダルトサイトのDMから分かった顧客情報の漏えい原因：萩原栄幸の情報セキュリティ相談室（1/3 ページ）

「ヘンなアダルトサイトのDMが来る」とレンタルショップ会社にクレームが来た。顧客情報の漏えいが判明し、調査に乗り出してみると、意外な部分が原因だと分かった。それは……。

[萩原栄幸，ITmedia]

　九州のX県にあるレンタルDVDショップ運営のA社は、Y市に大きな本社ビルを構えて営業していた。X県だけで20店舗以上あり、近隣の県を含めた九州全体を商圏として計35店舗を展開していた。インターネット上でも活発に営業し、現在ではその売上が全店舗の売上の4割以上に匹敵するほどの成長をみせている。

　そのA社で突如、情報漏えいが発生した。それは、L興業が運営する某アダルトサイトのダイレクトメール（DM）から発覚したのである。L興行は電子メールでも盛んに営業していたが、売上を伸ばすために今では珍しくDMを利用した。そのDMのあて名ラベルの左下に、小さくA社の顧客管理番号が印刷されていたのである。さて、今回はどういう状況だったのだろうか。

（編集部より：本稿で取り上げる内容は実際の事案を参考に、一部をデフォルメしています。）

事例

　A社のレンタルショップ事業は頭打ち状態にあり、全国から顧客を獲得すべく7年ほど前から、インターネットでのレンタルも始めた。当初は急成長していたが、最近では動画配信サイトに押され気味であり、なおかつ、ケーブルテレビ会社などのビデオオンデマンドサービスの台頭もあって、A社のネットレンタルの売上はここ1、2年では微増にとどまっている。そこで店舗の多角化を行い、コミック本やスーツケースなどの短期レンタル、さらには企業向けにPCや事務机、イスなどのリースも手がけた。しかし、取次店なので収益にはあまり寄与していなかった。

事案：こうした中で情報漏えい事件が起きた。そのきっかけは、店舗やインターネットに寄せられた10件ほどの顧客からの苦情だ。内容はいずれも、「アダルトサイトからDMが届いた。迷惑なので郵送を停止してほしいと連絡したいが、社名に「L興業株式会社」とあるだけで、所在地も電話も記載されていない。あて名ラベルをよく見ると小さな数字が印刷され、その数字がおたく（A社）のカードIDと同じ番号だ。個人情報保護法にも違反しているので、アダルトのDMなど送らないでほしい」というものであった。

回答

　本件を詳細に調査したところ、次の事実が浮かび上がったとA社から報告があった。

• ランダムに調査した結果、アダルトDMが送付されたのはA社の顧客以外では確認されていない
• A社の顧客の一部にだけ送付されており、見事に以下の該当者だけだった
1. 男性だけであること
2. 18歳以上であること
3. 一度でも「18歳以上」と指定のあるアダルトDVDをレンタルしたことがある

　DMを送付したとされる「L興業株式会社」としても、高い郵送料や印刷代、紙代を投資しているので、この該当者を選んだのは自然なことだろう。だが、アダルトサイトとDM以外にこの会社の身元を確かめる術がない。サイト運営者を「Who is」の情報で調べたり弁護士とも相談したりしたが、プロバイダー責任制限法を根拠に追及したところでまともな会社である可能性は低く、素直にこちらの要望に従うとも思えない。万一暴力団関係の業者だったら、追いつめることで逆に逆恨みされかねないということもあり、これ以上の追及は警察に届け出ることがベストだろうと判断された。